lunes, julio 14, 2014

Róbame que estoy haciendo deporte y estoy así de sano

Ya se ha hablado largo y tendido sobre el problema de canalizar demasiada información de tu vida privada a través de las redes sociales. Casos sonados son los de Please Rob Me, el sitio que informaba de la gente que estaba fuera de su casa porque hacía Check-in en puntos de FourSquare, o el de personas publicando sus tarjetas de crédito o documentos oficiales como pasaportes o DNI. De todos ellos ya hemos visto muchos vídeos alertando de las posibilidades, como el del gurú que leía la mente a la gente en la calle, a partir de lo que iban publicando en las redes sociales.

Figura 1: El sitio Please Rob Me avisaba de gente que abandonaba sus casas

Ya se supone que todos debemos estar alertados, pero aún así, algunos no han entendido el problema y hoy os quiero hablar de una red social que estos últimos días me ha preocupado. La red social para deportistas Endomondo. Por esas cosas del destino, no hace mucho tiempo acabé sacándome una cuenta en ella para ir controlando con el ritmo cardiaco en los trayectos que hago en bicicleta.

No es que sea un gran deportista, pero desde que he cumplido los 32 años he pensado que era buena idea sacar algo de tiempo en los cero huecos que me deja la agenda para mover los pedales de una Mountain Bike. Me bajé la versión de la app, me registré con un correo electrónico de esos que uso para esas cosas que tengo protegido con un 2FA, y listo.

Figura 2: Una ruta de práctica guardada en Endomondo e indexada en Google

Días después entré en la versión web y vi que uno de mis recorridos estaba en la web indexado en Google y pensé... WTF? La red social Endomondo, por defecto, deja públicos muchos de los datos de la red social, y basta con ver que hay cerca de 26.000.000 de URLs indexadas en Google, todas ellas abiertas al público en la red social.

Figura 3: 26.200.000 URLs públicas localizadas por Google

Aunque vía Google, solo se podría sacar 87.000 URLs que están en el índice principal de Google para hacer Hacking con Buscadores.

Figura 4: 87.900 URLs de Endomondo en el índice primario

Todas las URLs están publicadas para su indexación, ya que el fichero de configuración de Robots.txt de Endomondo no protege los perfiles, ni las rutas de prácticas, ni el historial de acciones, ni mucha información personal.

Figura 5: Fichero Robots.txt de Endomondo

Toda esa información está expuesta en Internet, y debes entrar en las opciones de privacidad para restringir que Solo tú o Solo tus amigos, puedan ver los datos de tu cuenta, pero como podréis ver, hay una infinidad de perfiles abiertos. En ellos se puede acceder a las rutas de entrenamiento de gente que sale a hacer deporte, junto la ruta por donde lo hace, el tiempo que ha estado fuera, la hora a la que comienza las rutas, etcétera, etcétera.

Con esa información, como muchos de los deportistas suelen tener rutinas, se está dando información sobre la vida personal - como dónde comienza las rutas que generalmente será en su casa -, por donde suele circular, y a qué horas hace esto. Mucho más peligroso que el famoso Crep.py que sacaba rutas desde Twitter o Flickr.

Figura 6: Historial de prácticas de una persona en Mayo de 2013

Todo queda registrado en un historial de prácticas que puedes inspeccionar, además de que, como está indexado en Google puedes localizar a gusto. Buscando por nombres de ciudades, o lugares. Una vez en los resultados, se pueden visitar los perfiles uno a uno y localizar a las personas.

¿Tu salud en la web?

Pero no solo eso, si la persona usa un pulsómetro, la información de los latidos queda registrada y publicada, lo que podría ser un problema si alguien decide consultar el estado de salud de alguien para, no sé, un crédito, un plan de pensiones, un seguro médico, etcétera. Son datos que en manos de profesionales pueden ser muy significativos.

Figura 7: Datos médicos de un pulsómetro

Yo creo que si tienes una cuenta en Endomondo, tal vez le interese a tus amigos conocer estas cosas porque puede ser divertido, pero dejarlo abierto a todo el mundo en Internet creo que es un error garrafal y una exposición impúdica e innecesaria que puede jugarte una mala pasada algun día. Haz deporte sí, pero con cabeza.

Saludos Malignos!

15 comentarios:

  1. por eso mejor no hago ejercicio =D

    ResponderEliminar
  2. Ya lo llevo diciendo yo hace tiempo entre mi gente, hay otras apps, yo en concreto uso Strava, esta entre otras cosas muy útiles para entrenar, te detecta el punto de salida mas frecuente y privatiza una zona de un radio considerable como tu zona privada entendiendo esta como tu casa, muy ingenioso. Además compara tiempos de paso por determinados segmentos del recorrido, ya sean creados automáticamente o que los generes tu mismo, haciendo un ranking de los mejores por ese paso, muy interesante para prenderte fuego por los montes sin entrenas mucho solo como el que suscribe.

    Bueno un saludo. Por cierto, en octubre voy a mi primer congreso, espero que no me explote la cabeza y vuelva a casa con el rabo entre las piernas dejándome la informática y dedicándome a cualquier otra "afición-profesión-droja" Espero ver a muchos por allí y poner alguna que otra cara!

    ResponderEliminar
  3. Pero es que la gracia está precisamente en poder ver qué rutas hace la gente, para descubrir rutas nuevas, encontrar gente que haga los mismos recorridos, y cosas así. No se trata sólo de quemar calorías, hay también un componente social importante, y si lo restringimos sólo a los amigos de cada cual, pues pierde bastante gracia.

    Es verdad que hay que tener en cuenta que se está dando información sobre dónde estamos o nuestras rutinas, pero también hay que ponerlo en perspectiva. Al fin y al cabo, mucho más fácil que trastear con la información de Endomondo es saber dónde trabajamos y qué horario tenemos, que para un ladrón es mucho más útil (más horas para robar). La cagada máxima es la de anunciar en tu Facebook a bombo y platillo que te vas 15 días al Caribe, pero que se sepa que dos días por semana sales 45 minutos a correr no veo que te comprometa en exceso.

    ResponderEliminar
  4. Chema tienes el Modo paranoya: ON y en modo agresivo jejeje, opino lo mismo que Jesús. Entiendo que no es bueno publicar lo que hacemos pero tmp hay que exagerarlo.

    ResponderEliminar
  5. Igualmente muy interesante el articulo y gracias por compartirlo.

    ResponderEliminar
  6. Que no haya pasado o no se sepa de algun caso, no quiere decir que no ocurra, de echo ser posible lo es. Una alternativa a esa App o convertirse al PP.DDD "Partido Partidario Del Descanso Diario" y acabar como la Foca :)

    Saludos!

    ResponderEliminar
  7. Vaya soberana gilipollez de articulo, sensacionalista y conspiranoico a mas no poder.sobretodo lo del pulso etro , jajjajja venga tio...

    ResponderEliminar
  8. Solución: no poner información personal online. La evolución del ritmo cardíaco se puede ver perfectamente offline ;-)

    ResponderEliminar
  9. Estoy quedándome con la gente acusándote de alarmista y paranoico... no estamos hablando de que tu escojas que recorridos hacer públicos (donde tendrás en cuenta que información personal tuya se comparte y donde pones el enlace) sino que se publique sin siquiera notificarlo.

    No sé, creo que al final cosas como la del watchdogs van a ser más realistas de lo que pensamos...

    ResponderEliminar
  10. Mirémoslo por el lado bueno: ¿cuánta me rebaja me harían los seguros si pueden ver mis prácticas? No es que sea un atleta, pero los tiempos y ejercicios que me marco son relativamente buenos.l

    ResponderEliminar
  11. "por eso mejor no hago ejercicio =D" Just as planned...

    ResponderEliminar
  12. Jesús: Realmente me esta tocando mucho los cojones que a cualquier cosa hoy en día quieran agregarle un "componente social", ¿que tanta necesidad hay de esa pijada si Facebook esta pasando de moda (por suerte)?, mas aun sabiendo lo riesgoso que puede llegar a ser si no se controlan bien estas cosas. Ademas, ¿como que no te jode si conocen los horarios en los que sales a correr?, tranquilamente podrían hacer algo de reconocimiento por esa zona, ver que tan transitada esta y planificar un asalto o secuestro con suficiente antelación (no seria la primera vez, pero con sitios así se les facilita mucho el trabajo a los delincuentes). Y eres un gilipollas hipster, acéptalo.
    53553y: Eres un crió que quiere hacerse el guay con un nick Haxor, y un gilipollas, ya madura.
    Eva ppc: Ademas de spammer también eres gilipollas (que sorpresa...) por que si usaras esas células atrofiadas que tienes por cerebro te darías cuenta de que existen aplicaciones para gestionar esos permisos sin tener que joderte al aceptar de una todo lo que te exigen las demás aplicaciones que instalas.
    Revisando un poco Endomondo se me ocurre que podría hacerme con un script que parsee toda la información de los perfiles (realmente no es difícil, a los perfiles se les asigna un numero secuencial y es fácil acceder a ellos). De seguro que a alguien mas podría interesarle esos datos o con algo mas de tiempo incluso podría cruzar información con otros sitios y saber mas acerca de esos usuarios, ¿como la ven ahora señor@s "me la suda mi seguridad y lo que publico en internet"?

    ResponderEliminar
  13. Rotietip, ¿Y quién eres tú para decirme lo que tengo o no que hacer? Me llamas gilipollas hipster, y luego das como principal argumento que no hay que hacerlo "porque facebook está pasando de moda". A mí me la sopla lo que esté de moda. Me gusta ir a correr, y si puedo ver por dónde corre la gente de mi zona, puedo descubrir rutas nuevas. Y si voy de viaje, puedo ver por dónde va la gente a correr. ¿Que alguien puede usar eso para ver por dónde voy? También me ve el frutero de la tienda de delante de mi casa, y tantísima gente que podría rastrearme. ¿Salgo por la ventana para que no me vea nadie? Y mejor de noche, supongo, que de día hay gente por la calle que podría verme y registrar mis patrones.

    En algún punto hay que poner la línea entre el sentido común y la paranoia pura. Una cosa es dar información porque sí, pero cuando tú extraes también un beneficio, hay que ponderar los pros y los contras y ya está, tampoco se hunde el mundo.

    Pero bueno, no sé para qué te respondo si está claro que eres un trollazo.

    ResponderEliminar
  14. Hola, no te suelo seguir, pero este artículo me ha "abierto los ojos". La marca Xiaomi (china, no sé si la conoces), pues acaba de sacar una SmartBand a precio de derribo 10€-20€, pues mi pregunta es entrando un poco en la paranoia y al dentro de poco tener un smartphone de esta marca, que tan seguro, por lo menos en privacidad será este combo Acepto tu opinión personal también.
    Muchas gracias!

    ResponderEliminar